Nel caso in cui si rilevi che un sistema è infetto da un root-kit, cosa succede se si può fare qualcosa per rintracciare le origini dei pacchetti remoti per tentare di scoprire da dove l'hacker stava effettuando l'accesso? Pongo questa domanda più come una curiosità e come una meraviglia di come nel mondo del lavoro venga catturato un hacker. Vedo molti articoli che affermano che l'attaccante è stato catturato, ma qual è la procedura?
Di norma, questo è uno sforzo infruttuoso.
È molto raro che un hacker effettui il login dal suo IP di casa o da qualsiasi server direttamente riconducibile a lui. È molto più comune per gli hacker utilizzare obiettivi precedentemente compromessi come punti di partenza per attacchi futuri. Spesso gli aggressori utilizzano anche altri relè (come i buttafuori IRC o le reti pubbliche IRC) per inoltrare i comandi ai server infetti.
Spesso è possibile rintracciare l'attacco sul server da cui è stato lanciato l'attacco, ma questo quasi certamente non apparterrà al perpetratore. In teoria è possibile ottenere i log da quel server e tentare di tracciare l'attacco hop-by-hop. Ma in pratica, questo non succede mai. Spesso gli attacchi attraversano i confini politici rendendo questo tipo di cooperazione effettivamente impossibile. Inoltre, anche se è possibile rintracciare il suo IP originale, molte volte apparterrà a un luogo non direttamente riconducibile a lui, come un coffee shop o un internet cafè.
Tuttavia, se disponi dei registri, può essere utile ottenere l'indirizzo IP dell'ultimo hop principalmente perché puoi quindi analizzare tutti i registri di traffico relativi a quell'IP per vedere come e quando è avvenuto l'attacco e per aiutarti a identificare componenti di attacco aggiuntivi che potresti aver perso.
Per quanto riguarda il modo in cui questi hacker vengono catturati Molto raramente l'attacco viene effettivamente rintracciato direttamente all'autore del reato, poiché coprire le tue tracce è ragionevolmente semplice. Invece, gli aggressori vengono trovati con altri mezzi. Ad esempio: rintracciare qualcuno che si vanta dell'offensiva su IRC, analizzando l'uso di informazioni rubate, identificando l'account twitter di qualcuno che ha preso credito per l'attacco, o semplice vecchio spionaggio da parte di ex-amici o informatori.
Generalmente questo non è possibile senza l'aiuto dell'ISP. traceback IP è un nome assegnato a qualsiasi metodo per determinare in modo affidabile l'origine di un pacchetto su Internet. Poiché l'indirizzo IP di origine di un pacchetto non è autenticato o probabilmente proxy. Il problema di trovare l'origine di un pacchetto è chiamato il problema di traceback IP. IP Traceback è una capacità critica per identificare le fonti di attacchi e istituire misure di protezione per Internet. Ci sono un certo numero di tecniche proposte più popolari sono
Marcatura dei pacchetti probabilistica:
Marcatura probabilistica dei pacchetti mentre attraversano i router la rete. Il router contrassegna il pacchetto con l'IP del router indirizzo o i bordi del percorso che il pacchetto ha attraversato per raggiungere il router.
Marcatura dei pacchetti deterministica:
Questa tecnica tenta di mettere un segno singolo sui pacchetti in entrata sul punto di ingresso della rete. La loro idea è di mettere, a caso probabilità di 0,5, la metà superiore o inferiore dell'indirizzo IP del interfaccia di ingresso nel campo ID frammento del pacchetto, quindi imposta un bit di riserva che indica quale parte dell'indirizzo è contenuto nel campo dei frammenti. Usando questo approccio, affermano di farlo essere in grado di ottenere 0 falsi positivi con .99 probabilità dopo solo 7 pacchetti.
Il tracciamento IP, come altri hanno affermato, non sarà utile. Ciò che può essere utile sono tutti gli altri dati che puoi raccogliere, come il codice dei file caricati e altre azioni eseguite dall'attaccante.
Ad esempio, ho eseguito un honeypot che ha catturato tutti i file e le sequenze di tasti scaricati. Dal codice nella botnet che ha installato, dal percorso di download del codice e dalle password che ha utilizzato, sono riuscito a rintracciare la persona direttamente. Ho avuto abbastanza informazioni da mettere in relazione che ho scoperto il suo nome, indirizzo email e numero di telefono e il suo coffee shop preferito nella sua città natale in Romania (grazie, Facebook).
Per quanto fosse intelligente, ha usato il suo nome completo come password quando ha creato un nuovo utente sul mio sistema, utilizzato un percorso di download che ha creato lui stesso, e ha usato uno pseudonimo che ha usato anche su un social network sito che ha eliminato, ma Google ha memorizzato nella cache.
Questo è il tipo di informazioni che le forze dell'ordine hanno bisogno di catturare un attaccante.
Leggi altre domande sui tag rootkits